Intrustion Detection System (IDS)

czyli oprogramowanie, które uruchamiane jest na stacjach roboczych, bądź na oddzielnych urządzeniach sieciowych. Służy do monitorowania ruchu w sieci. Nazwa IDS wskazuje na sposób działania, czyli na wykrycie intruza.

Możemy rozróżnić kilka trybów działania

Analiza heurystyczna – używa algorytmów do analizowania ruchu. Największe prawdopodobieństwo wystąpienia tak zwanych false positive, czyli fałszywych trafień. Analiza heurystyczna ma na celu wykrywanie nowych, nieznanych zagrożeń. Rzeczywiste wykrywanie nowych wirusów jest niskie, a liczba fałszywych alarmów wysoka.

Detekcja anomalii – szuka nieprawidłowości, nietypowych działań w systemie, które odbiegają od zwyczajnych działań użytkowników. Zazwyczaj programy uczą się jak wygląda bazowy stan systemu . Bazowy stan systemu (czyli jak powinna wyglądać normalna działalność użytkowników) możemy skonfigurować ręcznie bądź pozwolić programowi samemu nauczyć się typowych wzorców zachowań.

Wykrywanie sygnatur – skupia się na wykrywaniu ataków pasujących do określonych sygnatur, czyli do ustalonych reguł. Sygnatury opisują metody ataków na system. Na przykład atak SYN flood polega na ciągłym wysyłaniu bardzo dużej pakietów aż do zablokowania systemu. Pakiety te są specjalnie spreparowane (ustawiona flaga SYN). IDS wiedząc jak wygląda taki atak może podjąć odpowiednie kroki.

IDS w przeciwieństwie do firewall stworzony jest aby wykrywać i raportować nieprawidłowości, a nie je blokować.

Network-Based IDS

NIDS zazwyczaj jest osobnym urządzeniem, które za zadanie ma wykrywać intruzów. Najczęściej umieszczany jest w kluczowym punkcie w sieci, aby był w stanie monitorować cały ruch ze wszystkich urządzeń. Systemy NIDS są bardzo popularne ze względu na stosunek kosztów do efektywności. Wystarczy umieścić jedno urządzenie w sieci, zamiast dbać o kupno licencji na każdą stację roboczą.

Host-Based IDS

HIDS działa tylko ona jednej maszynie. Uruchamiany jest jako usługa, bądź proces w tle. Jest to rzadziej spotykane rozwiązanie w porównaniu do NIDS.

W obu przypadkach IDS ocenia i monitoruje ruch sieciowy. Po wykryciu anomalii może on zareagować pasywnie, bądź aktywnie.

Reakcja pasywna

Najczęstszy typ reakcji przeciwko większości naruszeń. Polega ona na tworzeniu logów, czyli zapisywaniu wszystkich zdarzeń, które wystąpiły oraz w jakich okolicznościach. Po odczytaniu logów administrator powinien mieś wystarczająco dużo informacji, dzięki którym będzie mógł zrozumieć przebieg ataku. Informacje te wykorzysta później aby zapobiegać podobnym atakom.

Drugim sposobem reakcji jest wysłanie administratorowi powiadomienia w momencie wystąpienia zdarzenia. Obejmuje to przekazanie wszelkich istotnych danych, aby osoba, która dostała powiadomienie mogła ocenić zaistniałą sytuację.

Czasami odpowiedzią na atak jest brak odpowiedzi. W sieciach pod dużym obciążeniem natężenie ataków jest wysokie. Nie ma więc sensu przejmować się atakami, które nie zadziałają z pewnych powodów.

Reakcja aktywna

Reakcja aktywna podejmuje działania bazując na zagrożeniu. Celem aktywnej odpowiedzi jest zredukować szkodliwe działania. Reakcja aktywna może spowodować zakończenie procesu, bądź sesji. Może także zmienić konfigurację sieciową – na przykład jeśli pewien adres IP powtarza ataki na sieć IDS może wysłać informację do routera, aby ten blokował ruch z tego IP. IDS może także oszukać atakującego, że jego atak się udał przekierowując go do wydzielonego systemu, który imituje prawdziwy (honeypot), a w między czasie monitorować dokładnie jego aktywność. Pozwoli to administratorowi poznać metody ataku i w przyszłości zapobiegać im.

IDS a IPS

Intrusion  Prevention System (IPS) reaguje blokując ruch ze szkodliwego adresu IP i zgłasza wystąpienie zdarzenia. Więc jest to IPS z dodatkową możliwością podejmowania działań, które powstrzymają atak. Można powiedzieć, że jest to firewall i IDS w jednym. System IPS w przypadku błędnej reakcji może spowodować problemy z funkcjonowaniem sieci.

Firewall

Firewall uważany jest za pierwszą linię obrony. Wyróżniamy różne typy firewalli, mogą być one wbudowane w systemy, czy urządzenia sieciowe (np w router), albo osobnymi urządzeniami. Ich zadaniem jest wyizolować sieć wewnętrzną od zewnętrznej. Nie musimy izolować całej sieci, a możemy jedynie jej część.

Stateful Packet Inspection Firewall

Ruch z sieci zewnętrznej do wewnętrznej jest domyślnie zablokowany.
Jeśli użytkownik sieci wewnętrznej zainicjuje ruch, firewall na niego pozwoli.

Firewall monitoruje ruch wychodzący i przychodzący. Pozwoli on na ruch z sieci zewnętrznej do wewnętrznej tylko pod warunkiem, że będzie to na przykład odpowiedź na żądanie z sieci wewnętrznej. Cały ruch jest zapamiętywany i analizowany.

Packet Filter Firewalls

Firewall nie analizuje danych w pakiecie, decyzje podejmuje bazując tylko na adresacji. Na przykład może być dozwolony ruch tylko na port 80, a gdziekolwiek indziej zablokowany.

Proxy Firewalls

Zapora pośrednicząca najczęściej umieszczana jest pośrodku naszej sieci i innej. Sieci nie mają ze sobą kontaktu, cały ruch jest kopiowany przez serwer proxy i wysyłany z jednej sieci do drugiej poprzez urządzenie pośredniczące. Pozwala to na ukrywanie adresów.

VPN

Virtual Private Network (wirtualna sieć prywatna) – prywatne połączenie, które ustanawiane jest poprzez publiczną sieć. VPN zapewnia prywatność i bezpieczeństwo w przesyłaniu danych przez niezabezpieczony internet. VPN może być używany do łączenia wielu prywatnych sieci (LAN), aby mogły się ze sobą komunikować używając internetu publicznego jako medium. Dzięki temu oba końce mogą być połączone ze sobą jak gdyby były połączone lokalnie. VPN wymaga specjalnych urządzeń (koncentrator VPN), bądź oprogramowania.

Wirtualna sieć prywatna stosuje protokoły tunelowania, jak na przykład Layer 2 Tunneling Protocol, Point-to-Point Tunneling Protocol czy IPSec. Najważniejszym elementem zapewniającym bezpieczeństwo jest zastosowanie szyfrowania. Najczęściej używanym systemem szyfrowania jest IPSec.

Jak wspomniałem wcześniej VPNy są używane do tworzenia połączeń pomiędzy prywatnymi sieciami poprzez internet. Jeśli nie zastosujemy szyfrowania połączenia nie będą miały zagwarantowanego bezpieczeństwa.

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here